Перейти к содержанию

Срочно! Критический баг в iOS и Mac OS X

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

В минувшую пятницу компания Apple выпустила срочное обновление для iOS версий 6 и 7. По сути, внеочередной апдейт состоял из всего одного фикса, который, впрочем, стоит того, чтобы поторопиться с обновлением. Причем чем скорее, тем лучше.

Уязвимость в SSL/TLS

Как говорится в пояснении, апдейт «устраняет проблему, возникавшую при проверке SSL-подключения». За столь пространной и безобидной формулировкой в действительности стоит довольно серьезная штука: исправляемая ошибка позволяет злоумышленникам, находящимся в одной сети с вами, перехватывать и модифицировать данные сессий, защищенных криптографическими протоколами SSL/TLS. Проще говоря, если вы воспользовались какой-нибудь публичной WiFi-сетью (например, в аэропорту или кафе) для доступа в онлайн-банкинг, сервис Gmail или даже Facebook, находящийся в той же сети злоумышленик при определенной сноровке может «прослушать» отсылаемую с вашего устройства информацию. Причем браузер Safari будет предательски показывать тот самый маленький закрытый замочек, означающий что ваша сессия зашифрована и, стало быть, защищена. Более того, уязвимость актуальна не только для браузера, но и практически любой другой программы. Так что Apple, так поторопившуюся с выпуском обновления, можно понять.

Последние несколько дней многочисленные эксперты ломали головы над природой данной уязвимости и выяснили, что, во-первых, баг был вызван ошибкой программиста (вероятнее всего, тот случайно удалил часть кода), а во-вторых, та же самая ошибка присутствует и в Mac OS X! Соответствующий патч для операционки еще не выпущен, но, учитывая всю серьезность ситуации, ожидать его стоит в самое ближайшее время.

Наши рекомендации:

  • Обновить все имеющиеся у вас iPhone, iPod и iPad с установленной на них iOS 6/7. Причем лучше всего это сделать в доверенной сети, например, дома или на работе;
  • До обновления не использовать с устройства сервисы онлайн-банкинга. Это касается девайсов на базе как iOS, так и Mac OS X. Для последней, впрочем, существуют неофициальные обновления, но их использование может быть рискованно;
  • Если же обновиться по какой-то причине не получается, а воспользоваться, например, банковским онлайн-сервисом нужно, делайте это исключительно в доверенной сети и с применением дополнительных средств: браузера Google Chrome, VPN и надежного антивирусного ПО.


Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Как защититься от слежки на Android и iOS через маячки AirTag и их аналоги | Блог Касперского
      От KL FC Bot
      Небольшие Bluetooth-метки для поиска потерянных вещей стали настоящим подарком забывчивым и часто путешествующим людям. Устройство размером с монету содержит батарейку и передатчик Bluetooth Low Energy (BLE), а приложение на современном смартфоне позволяет определить положение маячка с точностью до нескольких сантиметров. Если забытые ключи с меткой находятся вдали от владельца и его смартфона, найти их помогают чужие смартфоны: и Apple, и Google развернули глобальную сеть, в которой каждый смартфон сообщает о положении ближайших маячков на сервер, поэтому через фирменное приложение («Локатор» или Find my… для iOS, Find my Accessory для Android) можно найти пропажу, даже если расстояние до нее превышает радиус доступа Bluetooth вашего телефона. Главное — чтобы поблизости был хоть чей-то смартфон, имеющий и Bluetooth, и доступ в Интернет.
      Хотя самым популярным маячком является Apple AirTag, существует несколько других аксессуаров, работающих на том же принципе и порой совместимых между собой (Chipolo, Eufy, Filo, Samsung SmartTag, Tile и другие). Иногда функции отслеживания встраивают непосредственно в часто теряемые аксессуары, например в Bluetooth-гарнитуры и наушники.
      Возможности дистанционного отслеживания быстро оценили не только забывчивые люди, но и мошенники и любители следить за людьми. Подбросив свой AirTag жертве — например, подложив его в кармашек сумочки или засунув под номерной щиток автомобиля — можно отслеживать перемещения человека без его ведома. Воры применяют эту технологию перед кражей дорогих автомобилей, а сталкеры и ревнивые партнеры — для слежки и преследования. Как защититься от такого нежелательного подарка?
      Первое поколение защиты от AirTag
      Как только появились первые отчеты о реальных случаях слежки через AirTag, Apple внедрила несколько защитных мер, снижающих вероятность успешного сталкинга. Во-первых, AirTag оснастили динамиком. Если Bluetooth-метка находится вдали от смартфона, с которым она связана, то время от времени она будет издавать громкий писк. Во-вторых, в iOS 14.5 внедрили функцию, которая оповещает владельца смартфона, если в течение длительного времени и при всех перемещениях возле него обнаруживается один и тот же чужой AirTag. Если это произошло, можно включить на этом маячке звук, чтобы найти его физически, а также проверить серийный номер AirTag. Иногда такая ситуация вполне невинна, если это метка, висящая на ключах у родственника или друга, с которым вы вместе путешествуете, или маячок, который родители положили в рюкзак ребенку. В этом случае предупреждение о «чужом» AirTag можно отключить на время или навсегда.
      Увы, этих мер оказалось недостаточно. Они никак не помогали владельцам Android, а звуковую защиту злоумышленники обходили, самостоятельно отключая или повреждая динамик либо покупая «немые» AirTag на онлайн-барахолках.
       
      View the full article
    • KL FC Bot
      Критические уязвимости в модемах Telit Cinterion (Gemalto, Thales
      От KL FC Bot
      В сотовых M2M-модемах Telit Cinterion были обнаружены несколько серьезных уязвимостей, включая возможность удаленного выполнения произвольного кода (RCE) посылкой SMS-сообщений. Эти модемы используются в миллионах разнообразных устройств и систем, предназначенных как для пользовательского сегмента рынка (платежные терминалы, банкоматы, автомобили), так и для здравоохранения, финансового сектора, телекоммуникации, промышленности и многих других целей. Рассказываем подробнее о выявленных уязвимостях и о том, как от них можно защититься.
      Критические уязвимости в модемах Cinterion
      В общей сложности эксперты Kaspersky ICS-CERT обнаружили в модемах Telit Cinterion семь уязвимостей нулевого дня:
      CVE-2023-47610 / KLCERT-23-018: с помощью отправки особым образом созданных SMS атакующий получает возможность удаленного выполнения кода (RCE) в системе. CVE-2023-47611 / KLCERT-22-216: позволяет атакующему с низкими привилегиями в системе повысить их до уровня «manufacturer» (производитель). CVE-2023-47612 / KLCERT-22-194: имея физический доступ к устройству, атакующий получает возможность чтения и записи любых файлов и папок в системе, включая скрытые. CVE-2023-47613 / KLCERT-22-211: позволяет атакующему с низкими привилегиями в системе совершить побег из виртуальной папки и получить доступ к чтению и записи защищенных файлов. CVE-2023-47614 / KLCERT-22-210: позволяет атакующему с низкими привилегиями в системе обнаружить скрытые виртуальные пути и имена файлов. CVE-2023-47615 / KLCERT-22-212: позволяет атакующему с низкими привилегиями в системе получить несанкционированный доступ к конфиденциальным данным. CVE-2023-47616 / KLCERT-22-193: имея физический доступ к устройству, атакующий может получить несанкционированный доступ к конфиденциальным данным. Наибольшую опасность представляет собой первая уязвимость из этого списка (CVE-2023-47610). В числе прочего эта уязвимость позволяет манипулировать памятью и флеш-накопителем модема, что в итоге дает возможность получить полный контроль над системой. При этом для атаки не требуется ни физический доступ к устройству, ни аутентификация на нем.
       
      Посмотреть статью полностью
    • ska79
      Баг. Отображаются анонимные пользователи в общем списке
      От ska79
    • Станислав Ронсон
      KIS 21.1.0.150f.g. Mac book IOS Mojave. PHISHING JUPITER. Через Phantom Wallet.
      От Станислав Ронсон
      Здравствуйте.
      "Поймал" фишинговую ссылку, через уязвимость она влезла в Браузер Chrome и  Криптокошелёк, средства частично потеряны.
      KIS вредоносное ПО не обнаруживает, но оно точно есть. (Полная проверка результатов не принесла)
      https://disk.yandex.ru/d/XCyZRnBb4q22pw
       
    • Kirik_
      Сброс настроек телефона до заводских после обновления до новой версии Android/iOS. Нужен ли?
      От Kirik_
      Доброго времени суток)
      В интернете написано много мнений о том, нужно ли сбрасывать свой девайс до заводских настроек после обновления до "свежей" версии Android/iOS. Хотел бы узнать мнение здесь.
      Сторонники сброса аргументируют это наличием лишнего "мусора" от предыдущей ОС после обновления и нестабильной работой гаджета после обновления до новой мобильной ОС. Ведь идет наложение новой версии на уже установленную с сохранением всех настроек. Поэтому возможны баги, по их словам, а также оставшиеся "следы" от старой версии.
      Обращу внимание, что речь идет именно про сброс настроек до дефолта после обновления самой версии мобильной ОС (например, была Android 11, а потом обновились до Android 12), а не после периодических мелкий обновлений в рамках одной и той же версии мобильной ОС.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Технологии и техника".
×
×
  • Создать...